Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Se um domínio gerenciado do Microsoft Entra Domain Services mostrar um erro de locatário incompatível, você não poderá administrar o domínio gerenciado até que seja resolvido. Esse erro ocorrerá se a rede virtual subjacente do Azure for movida para um diretório diferente do Microsoft Entra.
Este artigo explica por que o erro ocorre e como resolvê-lo.
O que causa esse erro?
Um erro de diretório incompatível ocorre quando um domínio gerenciado e uma rede virtual dos Serviços de Domínio pertencem a dois locatários diferentes do Microsoft Entra. Por exemplo, você pode ter um domínio gerenciado chamado aaddscontoso.com que é executado no locatário da Contoso no Microsoft Entra. No entanto, a rede virtual do Azure para o domínio gerenciado faz parte do locatário do Microsoft Entra da Fabrikam.
O RBAC (controle de acesso baseado em função) do Azure é usado para limitar o acesso aos recursos. Quando você habilita os Serviços de Domínio em um locatário do Microsoft Entra, os hashes de credencial são sincronizados com o domínio gerenciado. Essa operação exige que você seja um administrador de locatários para o diretório do Microsoft Entra e o acesso às credenciais deve ser controlado.
Para implantar recursos em uma rede virtual do Azure e controlar o tráfego, você deve ter privilégios administrativos na rede virtual na qual implanta o domínio gerenciado.
Para que o RBAC do Azure funcione de forma consistente e proteja o acesso a todos os recursos usados pelos Serviços de Domínio, o domínio gerenciado e a rede virtual devem pertencer ao mesmo locatário do Microsoft Entra.
As seguintes regras se aplicam a implantações:
- Um diretório do Microsoft Entra pode ter várias assinaturas do Azure.
- Uma assinatura do Azure pode ter vários recursos, como redes virtuais.
- Um único domínio gerenciado está habilitado para um diretório do Microsoft Entra.
- Um domínio gerenciado pode ser habilitado em uma rede virtual pertencente a qualquer uma das assinaturas do Azure no mesmo locatário do Microsoft Entra.
Configuração válida
No seguinte cenário de implantação de exemplo, o domínio gerenciado Contoso está habilitado para o locatário Contoso do Microsoft Entra. O domínio gerido é implantado em uma rede virtual que pertence a uma assinatura Azure do tenant Contoso Microsoft Entra.
O domínio gerenciado e a rede virtual pertencem ao mesmo locatário do Microsoft Entra. Esta configuração de exemplo é válida e totalmente compatível.
Configuração de locatários incompatíveis
Neste exemplo de cenário de implantação, o domínio gerenciado da Contoso está habilitado no tenant Microsoft Entra da Contoso. No entanto, o domínio gerenciado é implantado em uma rede virtual que pertence a uma assinatura do Azure que pertence ao locatário do Microsoft Entra da Fabrikam.
O domínio gerenciado e a rede virtual pertencem a dois locatários diferentes do Microsoft Entra. A configuração de exemplo é um locatário incompatível e não tem suporte. A rede virtual precisa ser movida para o mesmo locatário do Microsoft Entra que o domínio gerenciado.
Resolver erro de locatário incompatível
As duas opções a seguir resolvem o erro de diretório incompatível:
- Primeiro, exclua o domínio gerenciado do diretório existente do Microsoft Entra. Em seguida, crie um domínio gerenciado de substituição no mesmo diretório do Microsoft Entra que a rede virtual que você deseja usar. Quando estiver pronto, junte todos os computadores que estavam conectados anteriormente ao domínio excluído ao recriado domínio gerenciado.
- Mova a assinatura do Azure que contém a rede virtual para o mesmo diretório do Microsoft Entra que o domínio gerenciado.
Próximas etapas
Para obter mais informações sobre como solucionar problemas com os Serviços de Domínio, consulte o guia de solução de problemas.